KR102118187B1 - 사이버 위협정보 분류 방법 및 장치 - Google Patents

사이버 위협정보 분류 방법 및 장치 Download PDF

Info

Publication number
KR102118187B1
KR102118187B1 KR1020180059806A KR20180059806A KR102118187B1 KR 102118187 B1 KR102118187 B1 KR 102118187B1 KR 1020180059806 A KR1020180059806 A KR 1020180059806A KR 20180059806 A KR20180059806 A KR 20180059806A KR 102118187 B1 KR102118187 B1 KR 102118187B1
Authority
KR
South Korea
Prior art keywords
threat
cyber
layer
cyberspace
classified
Prior art date
Application number
KR1020180059806A
Other languages
English (en)
Other versions
KR20190134321A (ko
Inventor
고장혁
오행록
이경호
주민희
김경민
Original Assignee
국방과학연구소
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 국방과학연구소 filed Critical 국방과학연구소
Priority to KR1020180059806A priority Critical patent/KR102118187B1/ko
Publication of KR20190134321A publication Critical patent/KR20190134321A/ko
Application granted granted Critical
Publication of KR102118187B1 publication Critical patent/KR102118187B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/34Browsing; Visualisation therefor
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Computing Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

개시된 사이버 위협정보 분류 장치에서 수행되는 사이버 위협정보 분류 방법은 사이버 위협정보 언어의 위협요소들을 사이버 공간의 계층에 따라 분류하는 단계, 분류된 위협요소들을 사이버 공간의 각 계층별로 시각화하여 출력하는 단계를 포함한다.

Description

사이버 위협정보 분류 방법 및 장치{METHOD AND APPARATUS FOR CYBER THREAT INTELLIGENCE CLASSIFICATION}
본 발명은 사이버 위협정보를 지휘통제가 용이하게 분류하는 방법 및 장치에 관한 것이다.
현재의 전장이 5차원(지상, 공중, 해상, 우주, 사이버) 전장으로 확장되어 감에 따라 사이버 지휘통제의 중요성이 부각되고 있으며, 사이버 공간 상의 정보가 물리 공간상의 정보와 연계가 될 수 있다는 관점이 생기면서 사이버 위협정보에 대한 중요성이 증가하였다.
사이버 공간에서 국가 또는 단체에 속한 해커들이 지속적으로 새로운 기술을 활용하여 사이버 공간뿐만 아니라 물리 공간에 영향을 주는 다양한 공격을 시도하고 있기 때문에, 사이버 위협정보와 위협정보 공유는 국가 안보 전략에서 현재 중요한 비중을 차지하고 있다.
따라서, 사이버 공간에서의 위협통제를 위해 사이버 공간의 위협정보들을 지휘통제가 용이하게 분류하는 시스템이 필요한 실정이다.
한국등록특허공보 제10-0892415호, 등록일자 2009년 04월 01일.
이에 해결하고자 하는 과제는, 사이버 위협정보 언어의 위협요소들을 지휘통제가 용이하게 분류하는 방법 및 장치를 제공한다.
해결하고자 하는 과제는 이상에서 언급한 것으로 제한되지 않으며, 언급되지 않은 또 다른 해결하고자 하는 과제는 아래의 기재로부터 본 발명이 속하는 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
제 1 관점에 따라 사이버 위협정보 분류 장치에서 수행되는 사이버 위협정보 분류 방법은, 사이버 위협정보 언어의 위협요소들을 사이버 공간의 계층에 따라 분류하는 단계와, 상기 분류된 위협요소들을 상기 사이버 공간의 각 계층별로 시각화하여 출력하는 단계를 포함한다.
제 2 관점에 따른 사이버 위협정보 분류 장치는, 사이버 위협정보 언어의 위협요소들을 사이버 공간의 계층에 따라 분류하는 위협요소 분류부와, 상기 분류된 위협요소들을 상기 사이버 공간의 각 계층별로 시각화하여 출력하는 계층별 시각화부를 포함한다.
일 실시예에 따르면, 사이버 위협정보 언어의 위협요소들을 사이버 공간의 계층에 따라 분류한 후에 분류된 계층별로 위협요소들을 시각화하여 출력한다. 이로써, 지휘통제를 위한 의사결정 시에 의사결정자의 인지적인 능력을 통해 직관적인 판단하는데 도움을 주며, 지휘통제의 의사결정을 위한 판단 오류가 최소화되도록 지원하기 때문에, 그만큼 사이버 전장에 대한 지휘통제의 용이성이 향상되는 효과가 있다.
도 1은 본 발명의 일 실시예에 따른 사이버 위협정보 분류 장치의 블록 구성도이다.
도 2는 본 발명의 일 실시예에 따른 사이버 위협정보 분류 장치에서 수행되는 사이버 위협정보 분류 방법을 설명하기 위한 흐름도이다.
도 3은 본 발명의 일 실시예에 따라 사이버 위협정보 언어의 위협요소들을 사이버 공간의 계층에 따라 분류한 상태를 예시한 도면이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명의 범주는 청구항에 의해 정의될 뿐이다.
본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명은 본 발명의 실시예들을 설명함에 있어 실제로 필요한 경우 외에는 생략될 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
도 1은 본 발명의 일 실시예에 따른 사이버 위협정보 분류 장치의 블록 구성도이다.
도 1에 예시한 바와 같이 일 실시예에 따른 사이버 위협정보 분류 장치(100)는 위협요소 분류부(110) 및 계층별 시각화부(120)를 포함한다.
이러한 사이버 위협정보 분류 장치(100)는 사이버 위협정보 언어의 위협요소들을 사이버 공간의 계층별로 분류하여 시각화한다. 예를 들어, 사이버 위협정보 분류 장치(100)가 분류할 수 있는 사이버 위협정보 언어로는 STIX(Structured Threat Information eXpression), OpenIOC(Indicator Of Compromise), MAEC(Malware Attribute Enumeration and Characterization) 등을 포함할 수 있다.
실시예에 따른 사이버 위협정보 분류 장치(100)가 사이버 위협정보를 계층별로 분류하고자 하는 사이버 공간은 인터넷, 통신, 네트워크, 임베디드 프로세스 등을 포함하는 상호 의존적인 환경으로 구성되어 있다. 사이버 공간은 물리적 계층, 논리적 계층, 페르소나 계층으로 나누어져 있으며, 물리적 계층은 지리적 요소와 물리적 네트워크 요소로 구성되는 계층이다. 논리적 계층은 물리적 네트워크에서 추상화된 방식으로 서로 관련되어 있는 네트워크의 요소로 구성되는 계층이고, 페르소나 계층은 인간과 인지 측면을 포함하는 계층으로 나누어져 있다.
사이버 위협정보 분류 장치(100)의 위협요소 분류부(110)는 사이버 위협정보 언어의 위협요소들을 사이버 공간의 계층에 따라 분류한다.
이러한 위협요소 분류부(110)는 STIX의 위협요소에 포함된 ID 유형(Identity, Type) 요소, 동기(Motivation) 요소, 의도된 효과(Intended_Effect) 요소, 희생물(Victim) 요소 및 기여한 공격자(Attributed_Threat_Actors) 요소 중 적어도 하나를 사이버 공간의 페르소나(Persona) 계층으로 분류할 수 있다. 그리고, 위협요소 분류부(110)는 STIX의 위협요소에 포함된 정교함(Sophistication) 요소 또는 일반적 적용성(Generally applicable) 요소는 사이버 공간의 OSI(Open System Interconnection) 계층으로 분류할 수 있다.
그리고, 위협요소 분류부(110)는 OpenIOC의 위협요소에 포함된 파일 접근 시간(File Accessed Time) 요소 또는 파일 수정 시간(File Modified Time) 요소는 사이버 공간의 소프트웨어 어플리케이션 계층으로 분류할 수 있다. 또, 위협요소 분류부(110)는 OpenIOC의 위협요소에 포함된 서비스 DLL(Service DLL) 요소는 사이버 공간의 OSI 계층으로 분류할 수 있다.
아울러, 위협요소 분류부(110)는 MAEC의 위협요소에 포함된 행동(Action) 요소 또는 역량(Capability) 요소는 사이버 공간의 OSI 계층으로 분류할 수 있다. 그리고, 위협요소 분류부(110)는 MAEC의 위협요소에 포함된 동작(Behavior) 요소는 사이버 공간의 페르소나(Persona) 계층으로 분류할 수 있다.
사이버 위협정보 분류 장치(100)의 계층별 시각화부(120)는 위협요소 분류부(110)에 의해 분류된 위협요소들을 사이버 공간의 각 계층별로 시각화하여 출력한다.
이러한 계층별 시각화부(120)는 STIX의 위협요소에 포함된 ID 유형 요소, 동기 요소, 의도된 효과 요소, 희생물 요소, 기여한 공격자 요소 중 적어도 하나의 요소 그리고 MAEC의 위협요소에 포함된 동작 요소를 사이버 공간의 페르소나 계층으로 구분되도록 시각화하여 출력할 수 있다.
그리고, 계층별 시각화부(120)는 STIX의 위협요소에 포함된 정교함 요소 또는 일반적 적용성 요소, OpenIOC의 위협요소에 포함된 서비스 DLL 요소, MAEC의 위협요소에 포함된 행동 요소 또는 역량 요소를 사이버 공간의 OSI 계층으로 구분되도록 시각화하여 출력할 수 있다.
아울러, 계층별 시각화부(120)는 OpenIOC의 위협요소에 포함된 파일 접근 시간 요소 또는 파일 수정 시간 요소를 사이버 공간의 소프트웨어 어플리케이션 계층으로 구분되도록 시각화하여 출력할 수 있다.
도 2는 본 발명의 일 실시예에 따른 사이버 위협정보 분류 장치에서 수행되는 사이버 위협정보 분류 방법을 설명하기 위한 흐름도이다.
도 2에 예시한 바와 같이 일 실시예에 따른 사이버 위협정보 분류 방법은 사이버 위협정보 언어의 위협요소들을 사이버 공간의 계층에 따라 분류하는 단계(S210)를 포함한다. 예를 들어, 이러한 위협요소 분류 단계(S210)에서 분류할 수 있는 사이버 위협정보 언어로는 STIX, OpenIOC, MAEC 등을 포함할 수 있다.
위협요소 분류 단계(S210)에서는 STIX의 위협요소에 포함된 ID 유형 요소, 동기 요소, 의도된 효과 요소, 희생물 요소 및 기여한 공격자 요소 중 적어도 하나를 사이버 공간의 페르소나 계층으로 분류할 수 있다. 그리고, 위협요소 분류부(110)는 STIX의 위협요소에 포함된 정교함 요소 또는 일반적 적용성 요소는 사이버 공간의 OSI 계층으로 분류할 수 있다.
그리고, 위협요소 분류 단계(S210)에서는 OpenIOC의 위협요소에 포함된 파일 접근 시간 요소 또는 파일 수정 시간 요소는 사이버 공간의 소프트웨어 어플리케이션 계층으로 분류할 수 있다. 위협요소 분류 단계(S210)에서는 OpenIOC의 위협요소에 포함된 서비스 DLL 요소는 사이버 공간의 OSI 계층으로 분류할 수 있다.
아울러, 위협요소 분류 단계(S210)에서는 MAEC의 위협요소에 포함된 행동 요소 또는 역량 요소는 사이버 공간의 OSI 계층으로 분류할 수 있다. 위협요소 분류 단계(S210)에서는 MAEC의 위협요소에 포함된 동작 요소는 사이버 공간의 페르소나 계층으로 분류할 수 있다.
그리고, 일 실시예에 따른 사이버 위협정보 분류 방법은 앞서 분류된 위협요소들을 사이버 공간의 각 계층별로 시각화하여 출력하는 단계(S220)를 더 포함한다.
이러한 시각화 출력 단계(S220)에서는 STIX의 위협요소에 포함된 ID 유형 요소, 동기 요소, 의도된 효과 요소, 희생물 요소, 기여한 공격자 요소 중 적어도 하나의 요소 그리고 MAEC의 위협요소에 포함된 동작 요소를 사이버 공간의 페르소나 계층으로 구분되도록 시각화하여 출력할 수 있다.
그리고, 시각화 출력 단계(S220)에서는 STIX의 위협요소에 포함된 정교함 요소 또는 일반적 적용성 요소, OpenIOC의 위협요소에 포함된 서비스 DLL 요소, MAEC의 위협요소에 포함된 행동 요소 또는 역량 요소를 사이버 공간의 OSI 계층으로 구분되도록 시각화하여 출력할 수 있다.
아울러, 시각화 출력 단계(S220)에서는 OpenIOC의 위협요소에 포함된 파일 접근 시간 요소 또는 파일 수정 시간 요소를 사이버 공간의 소프트웨어 어플리케이션 계층으로 구분되도록 시각화하여 출력할 수 있다.
도 3은 본 발명의 일 실시예에 따라 사이버 위협정보 언어의 위협요소들을 사이버 공간의 계층에 따라 분류한 상태를 예시한 도면이다.
이하, 도 1 내지 도 3을 참조하여 본 발명의 일 실시예에 따른 사이버 위협정보 분류 장치에서 수행되는 사이버 위협정보 분류 방법에 대해 더 자세히 살펴보기로 한다.
먼저, 사이버 공간의 다양한 위협요소들이 사이버 위협정보 언어로 표현된 위협정보 데이터가 사이버 위협정보 분류 장치(100)의 위협요소 분류부(110)로 입력된다. 예를 들어, 사이버 위협정보 언어로는 STIX, OpenIOC, MAEC 등이 이용될 수 있다.
그러면, 위협요소 분류부(110)는 사이버 위협정보 언어를 각각 식별하고, 식별된 각각의 사이버 위협정보 언어에 포함된 위협요소들을 사이버 공간의 계층에 따라 분류한다(S210).
예를 들어, 위협요소 분류부(110)는 위협요소들을 분류하기 위해 아래의 표 1 내지 표 3과 같은 요소 분류 테이블을 이용할 수 있다.
언어 종류 위협요소 사이버 공간 계층
STIX ID 유형 요소 페르소나
STIX 동기 요소 페르소나
STIX 의도된 효과 요소 페르소나
STIX 희생물 요소 페르소나
STIX 기여한 공격자 요소 페르소나
STIX 정교함 요소 OSI
STIX 일반적 적용성 요소 OSI
위협요소 분류부(110)는 표 1과 같은 요소 분류 테이블을 이용하여, STIX의 위협요소에 포함된 ID 유형 요소, 동기 요소, 의도된 효과 요소, 희생물 요소 및 기여한 공격자 요소 중 적어도 하나의 요소 또는 모든 요소를 사이버 공간의 페르소나 계층으로 분류할 수 있다. 그리고, 위협요소 분류부(110)는 STIX의 위협요소에 포함된 정교함 요소 또는 일반적 적용성 요소는 사이버 공간의 OSI 계층으로 분류할 수 있다.
언어 종류 위협요소 사이버 공간 계층
OpenIOC 접근 시간 요소 소프트웨어 어플리케이션
OpenIOC 파일 수정 시간 요소 소프트웨어 어플리케이션
OpenIOC 서비스 DLL OSI
그리고, 위협요소 분류부(110)는 표 2와 같은 요소 분류 테이블을 이용하여, OpenIOC의 위협요소에 포함된 파일 접근 시간 요소 또는 파일 수정 시간 요소는 사이버 공간의 소프트웨어 어플리케이션 계층으로 분류할 수 있다. 또, 위협요소 분류부(110)는 OpenIOC의 위협요소에 포함된 서비스 DLL 요소는 사이버 공간의 OSI 계층으로 분류할 수 있다.
언어 종류 위협요소 사이버 공간 계층
MAEC 행동 요소 OSI
MAEC 역량 요소 OSI
MAEC 동작 요소 페르소나
그리고, 위협요소 분류부(110)는 표 3과 같은 요소 분류 테이블을 이용하여, MAEC의 위협요소에 포함된 행동 요소 또는 역량 요소는 사이버 공간의 OSI 계층으로 분류할 수 있다. 또, 위협요소 분류부(110)는 MAEC의 위협요소에 포함된 동작 요소는 사이버 공간의 페르소나 계층으로 분류할 수 있다.
다음으로, 사이버 위협정보 분류 장치(100)의 계층별 시각화부(120)로 위협요소 분류부(110)에 의해 분류된 위협요소들을 사이버 공간의 각 계층별로 시각화하여 출력한다(S220).
예를 들어, 계층별 시각화부(120)는 도 3에 예시한 바와 같이 STIX의 위협요소에 포함된 ID 유형 요소, 동기 요소, 의도된 효과 요소, 희생물 요소, 기여한 공격자 요소 중 적어도 하나의 요소 또는 모든 요소를 사이버 공간의 페르소나 계층으로 구분되도록 시각화하여 출력할 수 있다. 아울러, 계층별 시각화부(120)는 도 3에 예시한 바와 같이 MAEC의 위협요소에 포함된 동작 요소를 사이버 공간의 페르소나 계층으로 구분되도록 시각화하여 출력할 수 있다.
그리고, 계층별 시각화부(120)는 도 3에 예시한 바와 같이 STIX의 위협요소에 포함된 정교함 요소 또는 일반적 적용성 요소를 사이버 공간의 OSI 계층으로 구분되도록 시각화하여 출력할 수 있다. 아울러, 계층별 시각화부(120)는 도 3에 예시한 바와 같이 OpenIOC의 위협요소에 포함된 서비스 DLL 요소를 사이버 공간의 OSI 계층으로 구분되도록 시각화하여 출력할 수 있다. 또, 계층별 시각화부(120)는 도 3에 예시한 바와 같이 MAEC의 위협요소에 포함된 행동 요소 또는 역량 요소를 사이버 공간의 OSI 계층으로 구분되도록 시각화하여 출력할 수 있다.
아울러, 계층별 시각화부(120)는 도 3에 예시한 바와 같이 OpenIOC의 위협요소에 포함된 파일 접근 시간 요소 또는 파일 수정 시간 요소를 사이버 공간의 소프트웨어 어플리케이션 계층으로 구분되도록 시각화하여 출력할 수 있다.
지금까지 설명한 바와 같이 본 발명의 실시예에 따르면 사이버 위협정보 언어의 위협요소들을 사이버 공간의 계층에 따라 분류한 후에 분류된 계층별로 위협요소들을 시각화하여 출력한다. 이로써, 지휘통제를 위한 의사결정 시에 의사결정자의 인지적인 능력을 통해 직관적인 판단하는데 도움을 주며, 지휘통제의 의사결정을 위한 판단 오류가 최소화되도록 지원하기 때문에, 그만큼 사이버 전장에 대한 지휘통제의 용이성이 향상된다.
본 발명에 첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 기록매체에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 기록매체에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
100 : 사이버 위협정보 분류
110 : 위협요소 분류부
120 : 계층별 시각화부

Claims (9)

  1. 사이버 위협정보 분류 장치에서 수행되는 사이버 위협정보 분류 방법으로서,
    사이버 위협정보 언어의 위협요소들을 사이버 공간의 계층에 따라 분류하는 단계와,
    상기 분류된 위협요소들을 상기 사이버 공간의 각 계층별로 시각화하여 출력하는 단계를 포함하고,
    상기 사이버 위협정보 언어는 STIX(Structured Threat Information eXpression), OpenIOC(Indicator Of Compromise) 및 MAEC(Malware Attribute Enumeration and Characterization)를 포함하고,
    상기 사이버 위협정보 언어의 위협요소들을 사이버 공간의 계층에 따라 분류하는 단계는,
    상기 STIX의 위협요소에 포함된 요소 및 상기 MAEC의 위협요소에 포함된 요소를 이용하여 상기 사이버 공간의 페르소나(Persona) 계층으로 분류하고,
    상기 STIX의 위협요소에 포함된 요소 및 상기 OpenIOC의 위협요소에 포함된 요소를 이용하여 상기 사이버 공간의 OSI(Open System Interconnection) 계층으로 분류하고,
    상기 OpenIOC의 위협요소에 포함된 요소를 이용하여 상기 사이버 공간의 소프트웨어 어플리케이션 계층으로 분류하는 사이버 위협정보 분류 방법.
  2. 제 1 항에 있어서,
    상기 STIX의 위협요소에 포함된 ID 유형(Identity, Type) 요소, 동기(Motivation) 요소, 의도된 효과(Intended_Effect) 요소, 희생물(Victim) 요소 및 기여한 공격자(Attributed_Threat_Actors) 요소 중 적어도 하나의 요소는 상기 사이버 공간의 페르소나(Persona) 계층으로 분류하고, 정교함(Sophistication) 요소 또는 일반적 적용성(Generally applicable) 요소는 상기 사이버 공간의 OSI(Open System Interconnection) 계층으로 분류하는
    사이버 위협정보 분류 방법.
  3. 제 1 항에 있어서,
    상기 OpenIOC의 위협요소에 포함된 파일 접근 시간(File Accessed Time) 요소 또는 파일 수정 시간(File Modified Time) 요소는 상기 사이버 공간의 소프트웨어 어플리케이션 계층으로 분류하고, 서비스 DLL(Service DLL) 요소는 상기 사이버 공간의 OSI(Open System Interconnection) 계층으로 분류하는
    사이버 위협정보 분류 방법.
  4. 제 1 항에 있어서,
    상기 MAEC의 위협요소에 포함된 행동(Action) 요소 또는 역량(Capability) 요소는 상기 사이버 공간의 OSI(Open System Interconnection) 계층으로 분류하고, 동작(Behavior) 요소는 상기 사이버 공간의 페르소나(Persona) 계층으로 분류하는
    사이버 위협정보 분류 방법.
  5. 사이버 위협정보 언어의 위협요소들을 사이버 공간의 계층에 따라 분류하는 단계와,
    상기 분류된 위협요소들을 상기 사이버 공간의 각 계층별로 시각화하여 출력하는 단계를 포함하는 사이버 위협정보 분류 방법에 따른 각각의 단계를 포함하고,
    상기 사이버 위협정보 언어는 STIX(Structured Threat Information eXpression), OpenIOC(Indicator Of Compromise) 및 MAEC(Malware Attribute Enumeration and Characterization)를 포함하고,
    상기 사이버 위협정보 언어의 위협요소들을 사이버 공간의 계층에 따라 분류하는 단계는,
    상기 STIX의 위협요소에 포함된 요소 및 상기 MAEC의 위협요소에 포함된 요소를 이용하여 상기 사이버 공간의 페르소나(Persona) 계층으로 분류하고,
    상기 STIX의 위협요소에 포함된 요소 및 상기 OpenIOC의 위협요소에 포함된 요소를 이용하여 상기 사이버 공간의 OSI(Open System Interconnection) 계층으로 분류하고,
    상기 OpenIOC의 위협요소에 포함된 요소를 이용하여 상기 사이버 공간의 소프트웨어 어플리케이션 계층으로 분류하는 동작을 수행하는 명령어를 포함하는 컴퓨터 프로그램이 기록된 컴퓨터 판독 가능 기록매체.
  6. 사이버 위협정보 언어의 위협요소들을 사이버 공간의 계층에 따라 분류하는 위협요소 분류부와,
    상기 분류된 위협요소들을 상기 사이버 공간의 각 계층별로 시각화하여 출력하는 계층별 시각화부를 포함하고,
    상기 사이버 위협정보 언어는 STIX(Structured Threat Information eXpression), OpenIOC(Indicator Of Compromise) 및 MAEC(Malware Attribute Enumeration and Characterization)를 포함하고,
    상기 위협요소 분류부는,
    상기 STIX의 위협요소에 포함된 요소 및 상기 MAEC의 위협요소에 포함된 요소를 이용하여 상기 사이버 공간의 페르소나(Persona) 계층으로 분류하고,
    상기 STIX의 위협요소에 포함된 요소 및 상기 OpenIOC의 위협요소에 포함된 요소를 이용하여 상기 사이버 공간의 OSI(Open System Interconnection) 계층으로 분류하고,
    상기 OpenIOC의 위협요소에 포함된 요소를 이용하여 상기 사이버 공간의 소프트웨어 어플리케이션 계층으로 분류하는 사이버 위협정보 분류 장치.
  7. 제 6 항에 있어서,
    상기 위협요소 분류부는, 상기 STIX의 위협요소에 포함된 ID 유형(Identity, Type) 요소, 동기(Motivation) 요소, 의도된 효과(Intended_Effect) 요소, 희생물(Victim) 요소 및 기여한 공격자(Attributed_Threat_Actors) 요소 중 적어도 하나의 요소는 상기 사이버 공간의 페르소나(Persona) 계층으로 분류하고, 정교함(Sophistication) 요소 또는 일반적 적용성(Generally applicable) 요소는 상기 사이버 공간의 OSI(Open System Interconnection) 계층으로 분류하는
    사이버 위협정보 분류 장치.
  8. 제 6 항에 있어서,
    상기 위협요소 분류부는, 상기 OpenIOC의 위협요소에 포함된 파일 접근 시간(File Accessed Time) 요소 또는 파일 수정 시간(File Modified Time) 요소는 상기 사이버 공간의 소프트웨어 어플리케이션 계층으로 분류하고, 서비스 DLL(Service DLL) 요소는 상기 사이버 공간의 OSI(Open System Interconnection) 계층으로 분류하는
    사이버 위협정보 분류 장치.
  9. 제 6 항에 있어서,
    상기 위협요소 분류부는, 상기 MAEC의 위협요소에 포함된 행동(Action) 요소 또는 역량(Capability) 요소는 상기 사이버 공간의 OSI(Open System Interconnection) 계층으로 분류하고, 동작(Behavior) 요소는 상기 사이버 공간의 페르소나(Persona) 계층으로 분류하는
    사이버 위협정보 분류 장치.
KR1020180059806A 2018-05-25 2018-05-25 사이버 위협정보 분류 방법 및 장치 KR102118187B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180059806A KR102118187B1 (ko) 2018-05-25 2018-05-25 사이버 위협정보 분류 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180059806A KR102118187B1 (ko) 2018-05-25 2018-05-25 사이버 위협정보 분류 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20190134321A KR20190134321A (ko) 2019-12-04
KR102118187B1 true KR102118187B1 (ko) 2020-06-02

Family

ID=69004443

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180059806A KR102118187B1 (ko) 2018-05-25 2018-05-25 사이버 위협정보 분류 방법 및 장치

Country Status (1)

Country Link
KR (1) KR102118187B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20240022323A (ko) 2022-08-11 2024-02-20 한국전력공사 보안이벤트 통계데이터를 시각적으로 제공하는 보안 관제 시스템

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11503047B2 (en) 2020-03-13 2022-11-15 International Business Machines Corporation Relationship-based conversion of cyber threat data into a narrative-like format
CN111597353B (zh) * 2020-05-18 2022-06-07 中国人民解放军国防科技大学 网络空间威胁知识抽取方法和装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017104655A1 (ja) * 2015-12-14 2017-06-22 日本電気株式会社 情報分析システム、情報分析方法、及び、記録媒体
JP2018032355A (ja) * 2016-08-26 2018-03-01 富士通株式会社 サイバー攻撃分析支援プログラム、サイバー攻撃分析支援方法およびサイバー攻撃分析支援装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100892415B1 (ko) 2006-11-13 2009-04-10 한국전자통신연구원 사이버위협 예보 시스템 및 방법
KR101818006B1 (ko) * 2016-06-28 2018-02-21 한국전자통신연구원 행위 정규화를 통한 악성코드 고속탐지 및 시각화 방법 및 이를 이용한 장치

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017104655A1 (ja) * 2015-12-14 2017-06-22 日本電気株式会社 情報分析システム、情報分析方法、及び、記録媒体
JP2018032355A (ja) * 2016-08-26 2018-03-01 富士通株式会社 サイバー攻撃分析支援プログラム、サイバー攻撃分析支援方法およびサイバー攻撃分析支援装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20240022323A (ko) 2022-08-11 2024-02-20 한국전력공사 보안이벤트 통계데이터를 시각적으로 제공하는 보안 관제 시스템

Also Published As

Publication number Publication date
KR20190134321A (ko) 2019-12-04

Similar Documents

Publication Publication Date Title
Sohal et al. A cybersecurity framework to identify malicious edge device in fog computing and cloud-of-things environments
Sinha et al. Stackelberg security games: Looking beyond a decade of success
RU2750554C2 (ru) Система компьютерной безопасности, основанная на искусственном интеллекте
KR102118187B1 (ko) 사이버 위협정보 분류 방법 및 장치
US10721263B2 (en) Systems for network risk assessment including processing of user access rights associated with a network of devices
Bodeau et al. Cyber resiliency engineering aid–the updated cyber resiliency engineering framework and guidance on applying cyber resiliency techniques
KR102295654B1 (ko) 공격 그래프 기반의 공격 대상 예측 방법 및 그를 위한 장치
WO2012109633A2 (en) Security countermeasure management platform
KR20090104072A (ko) 객체 관계 시각화
EP4004787A1 (en) An organizational cyber security system and method
Fernandez et al. Revisiting architectural tactics for security
Prince Cybersecurity: The security and protection challenges of our digital world
Tayouri et al. A survey of mulval extensions and their attack scenarios coverage
CN109840416A (zh) 恶意代码行为自动分析系统
WO2021044408A2 (en) An organizational asset discovery and ranking system and method
Matania et al. Continuous terrain remodelling: gaining the upper hand in cyber defence
Benmalek Ransomware on cyber-physical systems: Taxonomies, case studies, security gaps, and open challenges
Liu et al. Applying Moving Target Defense Against Data Theft Ransomware on Windows OS
KR102506547B1 (ko) 사이버 작전 정보 제공 장치 및 방법
Liem et al. Runtime self-protection in a trusted blockchain-inspired ledger
KR102118191B1 (ko) 사이버 지휘통제 지원 방법 및 장치
KR102639316B1 (ko) 공격 비용 기반 사이버 표적 추천 장치 및 방법
Benito An automated post-exploitation model for offensive cyberspace operations
Tommey Implications of Implementing Software Defined Networking to Improve Cybersecurity for Operational Technology Networks
Webber et al. Magic Quadrant for Endpoint Protection Platforms

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant